EuGH erleichtert Bußgelder bei Verstößen gegen die DSGVO
Mit einem Grundsatzurteil des Europäischen Gerichtshofes im vergangenen Monat erleichtern es die Richter den Behörden künftig, Bußgelder gegen Unternehmen zu verhängen, die gegen die Datenschutzgrundverordnung DSGVO verstoßen.
Aus dem Urteil von Anfang Dezember geht hervor, dass eine Geldbuße wegen Verstoßes gegen die DSGVO auch dann verhängt werden kann, wenn das strafbare Vorgehen nicht einer konkreten natürlichen Person im Unternehmen zugeordnet werden kann. Entscheidend für eine Strafe ist, dass die juristische Person schuldhaft gehandelt hat. Im Klartext: Unternehmen haften für Mitarbeiter, die gegen die DSGVO verstoßen und darüber hinaus auch für Auftragnehmer, die für sie tätig sind.
OWiG gegen DSGVO
Der Europäische Gerichtshof hatte in einem Vorabentscheidungsverfahren geurteilt. Hintergrund: Der Berliner Datenschutzbeauftragte hatte 2019 ein Bußgeld von rund 14,4 Millionen Euro gegen die „Deutsche Wohnen SE“ verhängt, weil das Immobilienunternehmen personenbezogene Daten von Mietern länger gespeichert hatte, als es notwendig war. Allerdings konnte der Datenschutzbeauftragte dieses Vorgehen keiner konkreten Person im Unternehmen zuordnen. „Deutsche Wohnen“ klagte, das Berliner Landgericht urteilte, dass für ein Bußgeldverfahren gemäß Ordnungswidrigkeitengesetz (OWiG) bekannt sein müsse, wer genau vorsätzlich oder fahrlässig gegen die DSGVO verstoßen habe und stellte das Verfahren ein. Weil der Berliner Datenschützer daraufhin Beschwerde beim Kammergericht einlegte, ging die Frage ans EuGH.
Der Europäische Gerichtshof folgte dem Kammergericht insofern, als dass er die entsprechenden Paragraphen im OWiG für unvereinbar mit der DSGVO bewertete. Entsprechend muss der Datenschutzverstoß keiner natürlichen Person im Unternehmen zuzuordnen sein. Dennoch, und das stellt das Gericht klar, muss ein Verschulden nachgewiesen werden, um ein Bußgeld verhängen zu können. Dabei geht es von der Frage aus, ob sich das Unternehmen darüber im Klaren sein konnte, dass das Verhalten rechtswidrig ist. Ist das mit „ja“ zu beantworten und wird das Verhalten nicht geändert, liegt ein Verstoß gegen die DSGVO vor, der mit einem Bußgeld belegt werden kann. Im Fall der „Deutsche Wohnen“ hatte der Datenschutzbeauftragte die Speicherung der Mieterdaten kritisiert, von „Unklarheit“ ist demnach nicht auszugehen.
Compliance Management System regelt Zuständigkeiten
Wir empfehlen vor diesem Hintergrund, das unternehmerische Compliance Management System noch einmal genau unter der Fragestellung zu betrachten, ob die Zuständigkeiten für den Umgang mit personenbezogenen Daten genau geregelt sind. Entscheidend ist dabei ein detailliertes Verfahrensverzeichnis, da jedes Unternehmen zur Sicherstellung der Datenschutzkonformität haben und regelmäßig aktualisieren sollte.